DZ6.x的UC_KEY getwebshell exploit

网上有dz 7.x和dz x系列的uc_key 利用方式，今天遇到了一个dz6.0的网站，于是分析了下代码，改了下利用程序，分享给需要的人。uc_key getshell 是一个影响比较广存在比较久的漏洞，基本上使用ucenter做用户中心的程序都可以使用，但需要根据特定程序写特定利用。最新版本的dz好像是修补了，没有具体看代码了。

注意三个地方：

1.在dz6.x中对xml的解析是不一样的，所以需要修改利用exp

2.低版本中$UC_API并没有转义，所以不需要提交2个包

3.低版本的加密函数也是不一样的

[via@L.N.wooyun-zone]